µî·ÏÀÏ 2010-02-23 12:09:02 Á¶È¸¼ö 1695
Á¦¸ñ [±ä±Þº¸¾È°øÁö] Á¦·Îº¸µå4 Ãë¾àÁ¡ °øÁö ¹× ÆÐÄ¡¹æ¹ý ¾È³»
¾È³çÇϼ¼¿ä.
¿ì¶ß³ÝÀÔ´Ï´Ù.

´ÙÀ½ ³»¿ëÀ» ÂüÁ¶Çϼż­ ÆÐÄ¡Çϼż­ »ç¿ëÇϽðí,
ÆÐÄ¡°¡ Èûµå½Ç °æ¿ì
¹®ÀÇ°Ô½ÃÆÇ¿¡ ±â¼úÁö¿øÀ» ¿äûÇÏ½Ã¸é µË´Ï´Ù.

°¨»çÇÕ´Ï´Ù.
¡à °³¿ä
o ÃÖ±Ù ±¹³» PHP ±â¹ÝÀÇ °ø°³ À¥ °Ô½ÃÆÇ Á¦·Îº¸µå4¿¡ ´ëÇÑ CSRF °ü·Ã º¸¾È Ãë¾àÁ¡ÀÌ ¹ß°ßµÊ[3]
¡Ø Á¦·Îº¸µå(ZeroBoard): PHP ¾ð¾î·Î ÀÛ¼ºµÈ ȨÆäÀÌÁö¿ë °Ô½ÃÆÇ ¼ÒÇÁÆ®¿þ¾î ¶Ç´Â ÇÁ·¹ÀÓ¿öÅ©
¡Ø CSRF(Cross-Site Request Forgery) Ãë¾àÁ¡ : Á¤»óÀûÀÎ ¼­ºñ½º »ç¿ëÀÚÀÇ ±ÇÇÑÀ» ¸ô·¡ ÀÌ¿ëÇÏ¿©
½ºÅ©¸³Æ®¸¦ ½ÇÇàÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡À¸·Î °ü¸®ÀÚ ±ÇÇÑÀ¸·Î ¾ÇÀÇÀûÀÎ ¸ñÀûÀÇ ½ºÅ©¸³Æ®°¡ ½ÇÇàµÉ ¼ö
ÀÖ´Â Ãë¾àÁ¡
o ÇØ´ç Ãë¾àÁ¡À» ÀÌ¿ëÇÑ È¨ÆäÀÌÁö º¯Á¶ ¹× ¿ø°Ý ½ÇÇà À§ÇùÀÌ ¹ß»ýÇÔ¿¡ µû¶ó, »ç¿ëÀÚÀÇ ÁÖÀÇ ¹× Á¶¼ÓÇÑ
ÆÐÄ¡°¡ ÇÊ¿äÇÔ

¡à ¿µÇâ
o ¿ø°ÝÀÇ »ç¿ëÀÚ°¡ Á¦·Îº¸µå4 °ü¸®ÀÚ ±ÇÇÑÀ» ȹµæÇÒ ¼ö ÀÖÀ½
o ȹµæÇÑ °ü¸®ÀÚ ±ÇÇÑÀ» ÀÌ¿ëÇÏ¿© ½Ã½ºÅÛ ³»ÀÇ ÀÓÀÇÀÇ ÆÄÀÏ Àбâ, PHP ¸í·É½ÇÇà µîÀÌ °¡´ÉÇϸç,
À̸¦ ÀÌ¿ëÇÑ À¥ º¯Á¶, ¿ø°Ý ½ÇÇà µîÀÌ ¹ß»ýÇÒ ¼ö ÀÖÀ½
¡Ø PHP : µ¿ÀûÀÎ À¥»çÀÌÆ®¸¦ À§ÇÑ ¼­¹ö Ãø ½ºÅ©¸³Æ® ¾ð¾î

¡à ¿µÇâ ¹Þ´Â ½Ã½ºÅÛ
o Á¦·Îº¸µå4 ¸ðµç ¹öÀü

¡à ¼³¸í
o ¿ø°ÝÀÇ »ç¿ëÀÚ°¡ ½Ã½ºÅÛ ³»ÀÇ ÀÓÀÇÀÇ ÆÄÀÏÀ» Àаųª, ÀÓÀÇÀÇ php Äڵ带 ½ÇÇàÇÏ´Â °ÍÀÌ °¡´ÉÇÏ¿©
À̸¦ ÅëÇÑ À¥ º¯Á¶ µîÀÇ ÇØÅ·ÀÌ ¹ß»ý

¡à ÇØ°á¹æ¾È
o Á¦·Îº¸µå4¸¦ óÀ½ »ç¿ëÇÏ´Â °æ¿ì
- °ø½Ä»çÀÌÆ®(www.zeroboard.com)¿¡´Â Ãë¾àÁ¡ÀÌ º¸¿ÏµÈ admin_exec_member.php ¼³Ä¡
ÆÄÀÏ[1]À» ´Ù¿î·Îµå ¹Þ¾Æ ¼³Ä¡

o Á¦·Îº¸µå4¸¦ »ç¿ëÁßÀÎ °æ¿ì
- [Á¦·Îº¸µå¼³Ä¡°æ·Î]/admin/admin_exec_member.php
- admin_exec_member.php ÆÄÀÏÀÇ 106¹ø° ÁÙ¿¡ ´ÙÀ½ ¾Æ·¡¿Í °°ÀÌ Ãß°¡

if($_SERVER['REQUEST_METHOD']!='POST') die("ºñÁ¤»óÀûÀÎ Á¢±ÙÀ̶ó Â÷´ÜµË´Ï´Ù");

¡à ÀÌ¿ëÀÚ ÁÖÀÇ»çÇ×
o 09³â 9¿ù 25ÀϺÎÅÍ Á¦·Îº¸µå4´Â ±¸Á¶ÀûÀÎ ÇÑ°è·Î ÀÎÇÑ º¸¾È Ãë¾àÁ¡ ¹®Á¦·Î °ø½ÄÀûÀÎ ¹èÆ÷¸¦ ÁßÁöÇÔ
o Á¦·Îº¸µå4ÀÇ °ø½ÄÀûÀÎ ¹èÆ÷´Â ÁßÁöµÇ¾úÀ¸³ª ½Å±ÔÃë¾àÁ¡ÀÇ ÇÇÇظ¦ ¸·°í Á¤º¸¸¦ °øÀ¯Çϱâ À§ÇØ °ø½Ä
Ä¿¹Â´ÏƼ´Â °è¼Ó ¿î¿µµÉ ¿¹Á¤
o µû¶ó¼­ ÀÌ¿ëÀÚµéÀº Á¦·Îº¸µå4ÀÇ °ø½Ä Ä¿¹Â´ÏƼ[2] »çÀÌÆ®ÀÇ º¸¾È Á¤º¸ °øÀ¯ °Ô½ÃÆÇ[1]À»
ÁÖ±âÀûÀ¸·Î È®ÀÎÇÏ¿© ½Å±Ô Ãë¾àÁ¡¿¡ ´ëÇÑ Á¤º¸¸¦ ¼÷ÁöÇÏ°í ÀÌ¿¡ µû¸¥ Á¶Ä¡¸¦ ÃëÇؾßÇÔ
o ȤÀº, Áö¼ÓÀûÀÎ º¸¾ÈÆÐÄ¡ Á¦°ø ¼­ºñ½º°¡ °¡´ÉÇÑ È¨ÆäÀÌÁö °Ô½ÃÆÇÀ¸·Î ¾÷±×·¹À̵带 ±Ç°í

¡à ±âŸ ¹®ÀÇ»çÇ×
o Á¦·Îº¸µå4´Â ´õ ÀÌ»ó »ç¿ëÇÒ ¼ö ¾ø´Â °Ç°¡¿ä?
- ¾Æ´Õ´Ï´Ù. »ç¿ëÇÏ½Ç ¼ö ÀÖ½À´Ï´Ù. ±×·¯³ª Á¦Àۻ翡¼­ ´õ ÀÌ»ó °ø½ÄÀûÀÎ º¸¾È ÆÐÄ¡¸¦ Á¦°øÇÏÁö ¾Ê±â
¶§¹®¿¡ ½Å±Ô Ãë¾àÁ¡À¸·Î ÀÎÇÑ ÇÇÇظ¦ ÀÔÀ¸½Ç ¼ö ÀÖÀ¸¹Ç·Î ÀÌ¿ëÀÚ ÁÖÀÇ»çÇ×À» ¼÷ÁöÇÏ½Ã±æ ¹Ù¶ø´Ï´Ù.
o Á¦·Îº¸µå4ÀÇ °ø½Ä Ä¿¹Â´ÏƼ´Â °è¼Ó ¿î¿µµÇ³ª¿ä?
- ³× ¿î¿µµË´Ï´Ù. Á¦·Îº¸µå4 °ø½Ä Ä¿¹Â´ÏƼ »çÀÌÆ®[2]´Â Á¦·Îº¸µå4ÀÇ Ãë¾àÁ¡ Á¤º¸ ¹× ±âŸ Á¤º¸
°øÀ¯¸¦ ¸ñÀûÀ¸·Î °è¼Ó ¿î¿µÀÌ µË´Ï´Ù.
o Çѱ¹ÀÎÅͳÝÁøÈï¿ø ÀÎÅͳÝħÇØ´ëÀÀ¼¾ÅÍ: ±¹¹ø¾øÀÌ 118

[Âü°í»çÀÌÆ®]
[1] http://www.xpressengine.com/zb4_security
[2] http://www.xpressengine.com/zb4_main
[3] http://www.xpressengine.com/18695228